Seoul, Korea March 28 29, 2013 가상화에서 클라우드까지 차세대 … · 하나의...
Transcript of Seoul, Korea March 28 29, 2013 가상화에서 클라우드까지 차세대 … · 하나의...
-
© 2011 Cisco and/or its affiliates. All rights reserved. 1 1 © 2013 Cisco and/or its affiliates. All rights reserved.
Seoul, Korea
March 28 – 29, 2013
김용호 부장
가상화에서 클라우드까지, 차세대 데이터센터를 위한 보안
Cisco Systems, BN ASIA Sales Team
mailto:[email protected]
-
Cisco Connect 2
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
• Click to edit Master text styles
Second level
Third level
Fourth level
© 2011 Cisco and/or its affiliates. All rights reserved. 2 2 © 2013 Cisco and/or its affiliates. All rights reserved.
Agenda 차세대 데이터 센터의 비즈니스 요구 사항
시스코 차세대 데이터센터 보안 프레임웍
혁신적인 데이터센터 보안구성
Why Cisco?
-
© 2013 Cisco and/or its affiliates. All rights reserved. 3
차세대 데이터 센터의 비즈니스 요구 사항
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
데이터센터의 발전 과정
전통적인 데이터센터
가상화된 데이터센터(VDC)
가상화된 데스크탑
내부, 프라이빗 클라우드
가상화된 프라이빗 클라우드(VPC)
퍼블릭 클라우드
자산 및 자원 통합
IT환경 가상화 자동화된 서비스 제공
운영방식의 표준화
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
클라우드 데이타 폭주 단말기 급증 에너지 효율성
한정된 예산 보안 및 규정 준수 24x7 상시 비즈니스 비즈니스 민첩성
-
© 2013 Cisco and/or its affiliates. All rights reserved. 6
시스코 차세대 데이터센터 보안 프레임웍
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 데이터 센터 보안 중점 사항
세그먼테이션
• 네트워크, 컴퓨팅 및 가상화에 대한 경계 수립
• 기능, 디바이스 및 조직별 차별화된 보안정책 적용
• 네트워크, 자원 및 응용프로그램에 대한 접근 제어
위협방어
• 내외부 공격 차단
•보안 감시 영역 선정 및 에지 경계 보호
• 접근 및 사용에 대한 정보 통제
가시성
• 자원 사용에 대한 투명성 제공
• 비즈니스 상황이 반영된 네트워크 활동 모니터링
• 운영 간소화 및 규정 준수 리포팅
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 환경에서의 ASA 포지셔닝
•데이터 센터 경계 방화벽/VPN 또는 IPS 기능 통합 수행
ASA5585-X
ASA CX 또는 ASA IPS 모듈과 함께 배치
대용량 트래픽에 대한 클러스터링
데이터센터내 코어 또는 분산 영역의 보안 서비스 노드 구성
ASA Service Module
IPS 4500 Series 또는 WSA와 함께 배치
주로 데이터 센터내의 분산 영역에 대한 보안 서비스 노드 구성
가상화 및 브랜치와 데이터센터간 VPN 망 구성
세그먼테이션
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상화 환경에서의 ASA 포지셔닝
•가상 데이터센터 또는 VDI 환경을 위한 방화벽/VPN 기능 수행
Hypervisor
Nexus 1000V
vPath
Tenant B Tenant A
VDC vApp
vApp
VDC
Virtual Network Management Center
vCenter ASA 1000v 클라우드 방화벽/VPN
VDC 방화벽 및 VPN 기능
가상데이터센터 간 트래픽에 대한 보안 정책 적용
브랜치와 가상데이터간 S2S IPSec VPN 망 구성
Virtual Security Gateway
서비스 영역별 가상 보안 게이트 웨이
가상 데이터센터내 서버팜별, 서비스영역별
Front-End 와 Back-End Application 간 접근 제어
세그먼테이션
ASA 1000V ASA 1000V ASA 1000V
VSG VSG
VSG
VSG
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
방화벽 세그먼테이션 가상화 구성 옵션
Web Server
Application Server
Database Server
Hypervisor
Virtual Service Nodes
VSN
VSN
Web Server
Application Server
Database Server
Hypervisor
VLANs
Physical Service Nodes
Virtual Contexts
가상 머신들의 트래픽이 VLAN을 통해 물리적 방화벽/VPN으로 전달
1 하이퍼바이저 기반의 방화벽 /VPN 가상화
2
세그먼테이션
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
위협방어 옵션
Valid SMTP connection?
Bad or unwanted content?
Command & control site?
Hostile action? Malicious content on the
endpoint?
WWW
Reputation Signatures Platform-specific Rules & Logic
Cisco Security Intelligence Operations Signatures
Threat
Research
Domain
Registration
Content
Inspection
Spam Traps,
Honeypots,
Crawlers
Blocklists &
Reputation
3rd Party
Partnerships
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
위협 방어 옵션
상황인식기반 차세대 방화벽 모듈
데이터 센터급 고성능 IPS 어플리안스 Cisco® IPS 4500
Cisco® ASA CX
위협방어
• 외부에서 내부로의 공격 방어
• 서버, 서비스 및 네트워크 단위 공격 탐지 및 차단
• 공격자 변화 추이 추적 및 실시간 위협 정보 반영
• 내부에서 외부로의 인터넷 접속에 대한 보안
• 내부사용자/서버의 규정위반, 행위기반 사용통제
• 상황인식기반 로컬보안정책 + 실시간 위협정보 반영
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가시화옵션
Devices Access
Catalyst® 3750-X
Bra
nc
h
Ca
mp
us
Catalyst® 3560-X
Catalyst® 4500
Catalyst® 4500
Access Point
Access Point
Distribution
Catalyst® 3750-X Stack
WLC
Catalyst® 6500
Edge
Site-to-Site VPN
ASA
ISR
Catalyst® 6500
Remote
Access
Cisco ISE
Management
StealthWatch Management
Console
StealthWatch FlowCollector
NetFlow Capable
Correlate and display Flow and Identity Info
Cisco TrustSec: Access Control, Profiling and Posture
NetFlow
Identity
AAA services, profiling and posture assessment
Collect and analyze NetFlow Records
Scalable NetFlow Infrastructure
가시화
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 데이터 센터 보안 포트폴리오
세그먼테이션 ASA 5585-X, ASASM VSG AS1000v Nexus1000v TrustSec
위협방어 IPS 4500 ASA CX
가시성 CSM NetFlow VNMC ISE
-
© 2013 Cisco and/or its affiliates. All rights reserved. 15
혁신적인 데이터센터 보안구성
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
전통적인 데이터센터 보안 구성
PUBLIC 코어영역 Layer 3
방화벽
L4 SW
IPS
L4 SW
방화벽
IPS
N-Tier
분산영역 Layer 3
서버팜A 서버팜B 억세스/서버영역 Layer 2
방화벽 PRIVATE
스토리지/백엔드
구성의 한계
복잡한 구조, N-Tier Network
다수의 보안 운영 포인트
하단 구성 변경 및 스케일업 한계성
보안 장애 발생시 서비스 중단 포인트 증가
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 차세대 데이터센터 보안 구성안
•물리적 보안 서비스 노드
분산영역 Layer 2
억세스/ 서버영역
코어영역 Layer 3
ASA5585-S60
또는 IPS SSP 모듈 추가
Clustering
Link
2
Tier
L2
구간
L 3
구간
서버팜A 서버팜B
구성의 혁신
간소한 구조, Flat Network
구성의 유연성 극대화
수용 능력 증감에 따른 자유로운 확장성
물리적 데이터센터 서비스 노드로써의 가상화 지원
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 보안 서비스 노드 주요 적용 기술
하나의 스위치 또는 방화벽에서 상위 두대의 스위치 연결 포트와 포트채널 구성
Dual Active Forwarding Paths 구성으로 모든 이용 가능한 업링크 대역폭 사용 가능s all available uplink bandwidth
Loop-Free 디자인 및 STP에 의해 블록되는 포트가 없는 구성으로 링크나 장비의 장애시 빠른 컨버전스 제공
•Virtual Port Channel
peer link
vPC
EC EC
Active Standby
vPC 기술
peer link
vPC
EC EC
Active Standby
ASA 에서의 vPC 지원
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 보안 서비스 노드 주요 적용 기술 •Multi-Chassis Etherchannel (MEC)
No Port Channel
STP에 의해 단 하나의 Active 링크로만 사용하거나 추가적인 대기 Standby 링크 허용
LACP Load Balance
src-dst-IP (hash)
Single-Chassis
LACP Port Channel
두개의 링크 모두 Active 할 수 있으나 상하단 연결 디바이스의 이중화 불가
LACP Load Balance
src-dst-IP (hash)
VPC
PEER
LINK
vPC Multi-Chassis
LACP Port Channel
모든 링크를 사용할 수 있으며 최상의 이중화 구성 지원
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 보안 서비스 노드 주요 적용 기술 •Transparent Firewall & Bridge Group
vlan 10
vlan 12
vlan 13
vlan 11
Bridge Group1
BVI1
Transparent Firewall Context
하나의 브리지 그룹 당 4개의 VLAN 구성 지원 하나의 방화벽 또는 가상방화벽 당 8개의 브리지 그룹 구성 지원 다수의 네트워크를 구성 변경 없이 수용할 수 있으며 디자인 유연성 제공
vlan 14
vlan 16
vlan 17
vlan 15
Bridge Group2
BVI2
vlan 29
vlan 31
vlan 32
vlan 30
Bridge Group8
BVI8 …
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 보안 서비스 노드 주요 적용 기술 •방화벽 클러스터링
Clu
ste
r C
ontr
ol Lin
k
최대 120 Gbps 방화벽 또는 64 Gbps 방화벽 + IPS 성능 제공
구성방식
ASA5585 8대 또는 8개의 방화벽 SSP까지 클러스터링 지원
일반적인 스위치 및 라우터를 이용한 로드밸런싱
ECLB(Ether Channel Load Balancing), ECMP(Equal Cost Multi-Path) 또는 시스코 PBR(Policy Based Routing)을 이용
동작방식
시스코에서 개발된 ASA의 Cluster Control Protocol를 이용하여 상태 정보 및 커넥션 정보 공유
시스코 VSS 및 VPC 환경 지원
클러스터링 구성 멤버간 고가용성 지원, 서비스 무중단 업그레이드 지원
관리방식
One Management 로 단일 방화벽처럼 정책관리 및 모니터링
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
물리적 보안 서비스 노드 주요 적용 기술
•가상방화벽내에서도 다양한 보안 서비스 기능 수행
고객 1
고객 2
고객 3
CTX 1
CTX 2
CTX 3
인터넷
차세대 데이터센터를 위한 가상 서비스 노드 기능 고도화
Dynamic Routing 지원
Enhanced Internet Gateway Routing Protocol (EIGRP)
OSPF
S2S IPSec VPN 지원
Internet Key Exchange (IKE) v.1 and IKE v.2 Site-to-Site VPN
차세대 암호화 알고리즘 (일명 Suit-B) 지원
Remote Access VPN 지원
IPSec 및 SSL VPN 동시 지원
AnyConnect Client
혼합 모드 지원
L2(Transparent) 모드 및 Routed 모드 가상방화벽 동시 지원
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
서버 가상화 보안 이슈
VM 이동시 보안 정책 연속성 및 이동성 확보
로컬 스위칭 가시성 및 보안성 유지
무중단 운영 및 보안 관리독립성 보장
구성의 간소화 및 확장성 유지
Port Group
Server Admin
Network Admin Security
Admin
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 데이터센터 가상화 서비스 노드 •VSN : Virtual Service Node
Multi-Hypervisor
WAN
Router
Servers
Tenant A
ASA
1000V
Nexus 1000V vPath 물리적 인프라
가상화.클라우드 Data Center
VSG
VXLAN
Nexus 1000v
•분산형 스위치
• NX-OS 기반 구성
6000+ Customers
VSG
• VM 기반 제어
• Zone 기반 방화벽 역할
Shipping
vWAAS
• WAN 최적화
• Application Traffic 가속
Shipping
Switches
CSR
1000v
Zone A
Zone B
Contents Security
• ESAv
• WSAv
Beta
vWAAS ESAv WSAv
ASA 1000v
• Edge Firewall/ VPN
• Protocol Inspection
Shipping
• WAN L3 gateway
• Routing & VPN
CSR 1000V (Cloud Router)
Beta
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 VSN 구성 옵션
가상 어플라이언스
VSM vWAAS VSG ASA1000V
vCloud Director SCVMM Openstack Openstack
VEM-2
vPath
WS 2012 Hyper-V
VXLAN
VEM-1
vPath
KVM
VXLAN
VEM-1
vPath
ESX
VXLAN
VEM-2
vPath
Xen Server
VXLAN
Nexus 1100
NAM VSG Primary
VSM
NAM VSG Secondary
VSM
일관성 있는 기능 구현
일관성 있는 네트워크 서비스
일관성 있는 운영 모델
투자 보호 효과
설치 및 운영시간 단축 효과
위험요소 감소
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상화 환경하의 VSN 핵심 아키텍처
•Nexus 1000v 가상 스위치
vmnic vmnic VMWare
ESX
VMWare
ESX
vSphere Hypervisor
vSphere Hypervisor
Cisco Nexus 1000V
vPath
vCenter Server Nexus 7K/5K
Cisco N1Kv VSM
(Virtual Supervisor Module)
Port-Profile : Gold-SVC vethernet Red-SVC Red-SVC
Cisco VNMC
vMotion
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 차세대 데이터센터 보안 구성안
• 가상화 서버팜의 3-Tier 구성
•가상 보안 서비스 노드 구성안
Web
Server Web
Server
App
Server App
Server
DB
server DB
server
웹서버존에서 APP서버존으로 HTTPS 접속만 허용
APP서버존에서 DB서버존으로 SQLNET 접속만 허용
Tenant A
Web
Server Web
Server
App
Server App
Server
DB
server DB
server
Tenant B
웹서비스를 위한 HTTP/HTTPS
서비스 오픈
서버관리를 위한 SSH 서비스 오픈
모든 트래픽 차단
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 차세대 데이터센터 보안 구성안
• 소유권별 보안 및 3-Tier 구성의 가상서버존 보안
•가상 보안 서비스 노드 구성안
Web
Server Web
Server
App
Server App
Server
DB
server DB
server
웹서버존에서 APP서버존으로 HTTPS 접속만 허용
APP서버존에서 DB서버존으로 SQLNET 접속만 허용
Tenant A
Web
Server Web
Server
App
Server App
Server
DB
server DB
server
Tenant B
인터넷 에지 보안을 위한 ASA1Kv 클라우드방화벽/VPN
VSG for
Secure Zoning
웹서비스를 위한 HTTP/HTTPS
서비스 오픈
서버관리를 위한 SSH 서비스 오픈
모든 트래픽 차단
VSG for
Secure Zoning
Benefits
VM들의 확장 및 이동성을 보장하면서
소유권의 완전 분리 및 가상서버간 보안 확보
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상 보안 서비스 노드 주요 적용 기술 •ASA1000v with N1Kv VXLAN 게이트웨이 : 확장성 높은 세그먼테이션
VM VM VM VM VM
Cisco® ASA 1000V이 VXLAN에 대한 에지 방화벽으로 동작
VXLAN과 VLAN간의 에지 방화벽
VXLAN
VLAN
VXLAN: LAN 세그먼트의 확장
16M 개의 세그먼트 지원
Layer 3 구간에 대한 LAN 세그먼트 지원
기존 네트워크 장비와 완벽 호환
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상 보안 서비스 노드 주요 적용 기술
•vPath를 이용한 ASA1Kv 와 VSG간 보안 서비스 체이닝 기술
Cisco Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
Cisco vPath
Cisco VSG
Cisco ASA 1000V
1 2
3
4 5
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상 보안 서비스 노드 주요 적용 기술
•vPath를 활용한 성능 가속화 기술
Cisco Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
Cisco vPath
Cisco VSG
Cisco ASA 1000V
1 2
3
ACL offloaded to
Nexus 1000V
(policy enforcement)
Remaining
packets from flow
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상 보안 서비스 노드 주요 적용 기술 •vFath의 유연한 이동성 및 무중단 운영 기술
Cisco Nexus® 1000V
Distributed Virtual Switch vPath
Cisco Nexus® 1000V Distributed Virtual Switch 업그레이드
준비
VM VM VM
VM VM
VM
VM VM
VM
VM
VM
Cisco VNMC
Cisco ASA
1000V
(Active)
VM
VM
VM VM VM
VM VM VM
vPath
Cisco® ASA 1000V
(Standby)
효율성 높은 구성 (다중 호스트에 대한 보안)
운영의 간소화 (간편한 H/W 업그레이드 지원)
가상환경 유동성 인식 기반 (VMware vMotion 지원)
Cisco ASA 1000V
(Active)
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
가상 보안 서비스 노드 주요 적용 기술
•고가용성 기술 : 어떤 레벨에서의 장애에도 무중단 서비스
서로다른 하이퍼바이저상의 ASA간 Active/Standby 구성
하이퍼바이저 가용성과 ASA 가용성 구성 연동
소프트웨어 및 하드웨어 장애에 대한 가용성 제공
Cisco® ASA 1000V
(Standby) Cisco ASA 1000V
(Active)
Stateful
Failover
Connection
Cisco® ASA 1000V
(Offline) Cisco ASA 1000V
(Active)
Cisco® ASA
1000V
(Standby)
VM VM VM
VM VM
VM
VM VM
VM
VM
VM
VM
VM
VM VM VM
VM VM VM
-
© 2013 Cisco and/or its affiliates. All rights reserved. 34
Why Cisco?
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
보안
네트워크 컴퓨팅
-
Cisco Connect Korea 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
시스코 차세대 데이터센터 보안 솔루션
•차세대 데이터센터 발전 형태별 맞춤형 보안 구성 제공
신속하고 정밀한 위협 대응 • 상황인식기반의 위협 관리 • 글로벌 실시간 위협 정보 반영
데이터센터의 모든 형태별 보안 세그먼테이션 구성 지원
효율적인 운영 및 보안 가시성 • 물리/가상화 별 효과적인
운영관리 툴 • 넷플로우기반 내부 위협 분석
검증된 디자인 • 엔드-투-엔드 보안 아키텍처에
대해 랩테스트를 통한 검증 및 솔루션 제공
시스코만의
어드벤티지
-
© 2013 Cisco and/or its affiliates. All rights reserved. 37
Thank you.